Crear 2 Vlan para 1 ethernet física



  • Tengo una placa Intel D2500CC que tiene 2 lan integrados usando PFSense.
    Me han puesto fibra optica, pero el teléfono resulta que solo funciona conectado a la salida del router que me han dado.

    He sustituido ese router por el mio, y ya he creado una conexión en el PFsense hacia la ONT creando una Vlan con su id. Y ya tengo internet

    El problema me viene para tener la voz con el teléfono, porque al colocar el router de la operadora detrás del PFSense, pierdo el teléfono.

    ONT
    |____(<-vlan.eth0)
    PFSENSE
    (eth1->)
    |____switch
    |___PC
    |
    |Impresora
    |
    |
    Router operadora
    |
    |
    Telefono

    Pienso que se podria arreglar creando otra vlan para él.
    Si no tengo mas ethernet físicas libres, ¿puedo crear otra VLAN adicional para el tráfico hacia el router de la operadora y así tener teléfono?
    ¿Como podría hacerlo desde PFSense?

    En caso negativo:
    ¿Necesitaría poner otra tarjeta ehternet en la placa?
    ¿O quizás si cambio mi switch por uno que sea gestionable y que pueda crear otras vlan entonces podría solucionarlo?

    gracias por cualquier idea!


  • Rebel Alliance

    Preguntonta…. :D

    Probaste colocar un Switch pequeño entre la ONT (que asumo tiene solo 1 Ethernet) y el pfSense, y conectar el "router" de la operadora a ese Switch, en lugar de conectarlo detrás del pfSense ?

    En teoría, aunque no sea manejable, debería pasar los paquetes "tagueados" (VLANs) y si cada servicio utiliza su propia VLAN/Rango
    de IPs debería funcionar.

    Conste que esto NO es algo que haya probado ;)



  • hola!. Si, eso parece que puede hacerse con un switch gestionable segun leo por aqui:
    http://bandaancha.eu/foros/configuracion-vlan-1074-switch-netgear-1708555

    lo que ocurre es que entonces el switch estaría delante del PfSense y el trafico de VoIP se queda sin firewall. Lo haría sino tuviera otra opción.

    Pero lo que me gustaría es que el Pfsense estuviera delante de todo porque lo veo mas seguro.

    Si ahora no pudiera crear 2 vlan hacia una misma tarjeta física, quizás intentaría poner un switch gestionable detrás respetando el esquema del dibujo.  Pero tampoco se si se podrían crear dos vlan en el switch y encaminarlas a la unica del pfsense.

    También estaría la opción de añadir una tarjeta PCI ethernet de perfil bajo. Pero tengo la placa en una caja tan pequeña que no cabe. Así que debería comprar la tarjeta y otra caja. O bien probar con un adaptador USB-Ethernet para añadirla una eth, pero sin saber si el PFsense lo reconocerá sin problemas.

    ¿Por cierto alguien saber si el PFsense reconoce la ethernet de esos adaptadores?

    Pero en cualquiera de esos casos me debería gastar dinero :( .

    Por eso la pregunta. (Gracias por responder :)


  • Rebel Alliance

    Puedes crear tantas VLANs como desees (4094/4096 creo que es el limite) en 1 interface, siempre y cuando no se repitan las IDs

    El tráfico VoIP detrás del FW ? que es lo que vas a proteger ?

    Tienes 1 línea telefónica VoIP que te da tu ISP, y si la línea la Termina en su infraestructura no le veo ventaja al hecho de tenerla detrás del FW



  • Pero la interface eth1 ya me está sirviendo tráfico sin una VLan asociada. ¿Podria entonces asociarle además una VLan sin tener que alterar la configuración del resto de equipos?.

    Esa es mi gran duda!!.

    Acabo de encontrar algun usuario que afirma que el Dlink DUB-E100 es un adaptador usb-ethernet que funciona sin problemas con PfSense. Eso seria una opción sencilla, aunque el precio casi es lo mismo que un pequeño switch gestionable.

    Se que la linea acaba en la operadora, pero la ip es la misma y los routers de las operadoras se pueden tumbar con facilidad y algunos como el mio guardan todos los detalles de las llamadas y parece que no hay posibilidad de impedirlo.  Me gustaria tenerlo detrás del PFSense controlando el tráfico, los puertos y la IP de destino.


  • Rebel Alliance

    No se recomienda "mezclar" trafico "Tagueado" (VLAN) y trafico sin "Taguear" en la misma interface, pero funciona… simplemente no se recomienda ;)



  • pues yo no puedo…  Puedo crear varias VLAN pero entonces su interface ya no esta operativa sino es a través de alguna vlan.

    Bueno, creo que voy a soltar la pasta porque paso de mas dolores de cabeza.

    gracias de todos modos



  • Hola, yo utilice apenas una USB de startech con este chip y funciona bastante bien , aunque no debe de tener gran performance. mi conexion es de 5 mbs asi que no tengo problemas con lo que me pueda dar el USB.Esta usb cuesta 25 usd aprox.

    Ahora….

    El internet o el telefono te lo estan entregando en una VLAN ?

    La sugerencia de PTT es buena por que con eso podrias tener tu telefono y el pfsense conectados al mismo.

    La verdad es que si el telefono IP es de la compañia telefonica, la unica ruta que tiene para salir ese telefono es a traves de la central de la compañia y la seguridad , quiero pensar corre a cuenta de la misma. La verdad es que no veo que habria que protegerle a ese telefono si asumo que no tienes ni acceso a la configuracion del mismo. bueno .. eso es como lo veo yo.

    Saludos



  • este es el modelo : USB2106S , Chip MOSChip mcs7830



  • gracias por el dato. Lo miraré tambien. :)

    No tiene que ver con seguridad de la linea de la compañía.
    Como ya he explicado antes, el teléfono está conectado al router de la compañía:
    http://www.avanzada7.com/es/imagen-producto/3-technicolor-tg784n-v3.jpg

    Si lo pongo detrás del pfsense y limito su tráfico sólo a los puertos y la IP de la compañia que necesita el teléfono, la seguridad es mayor que si lo tengo conectado a la fibra expuesto a cualquier ip y cualquier puerto.

    A mi me parece que tiene todo el sentido.

    saludos,


Log in to reply